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(54) Vorrichtung und Verfahren zur Steuerung und/oder Regelung einer Anlage 



(57) Zur Regelung und/oder der Steuerung des Be- 
triebs einer Anlage (7) werden zu schutzende Applika- 
tionsdaten verschlusselt in einem externen Speicher (1 ) 
abgelegt und bei Start der Anlage (7) in einen internen 
Arbeitsspeicher (4) eines Steuergerates eingelesen. 
Wahrend dieses Einlesevorgangs werden die ver- 
schlusselten Oaten mit einem Entschlusselungskode 
entschlusselt. Zur Verschlusseiung wird ein Verschius- 



selungskode verwendet, der so gestaltet ist, daB Kennt- 
nis des Entschlusselungskodes keinen RuckschluB auf 
d en Verschlusselungskode erlaubt. Durch diese dop- 
pelten Schlussel ist sichergestellt, da3 zu schutzende 
Applikationsdaten einerseits manipulationssicher ver- 
schlusselt werden konnen und andererseits im norma- 
len Betrieb entschlusselte Daten ohne Laufzeitprobie- 
me verwendet werden konnen. 
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Beschreibung 

[0001 ] Die Erf indung betrifft eine Vorrichtung bzw. ein 
Verfahren zur Steuerung und/oder Regelung einer An- 
lage, wobei Applikationsdaten zur Steuerung und/oder 
Regelung verwendet werden, die in einem externen 
Speicher abgelegt sind. 

[0002] Bei solchen Anlagen ergibt sich das Problem, 
daB die im externen Speicher herstellerseitig vorgese- 
henen Applikationsdaten von unbefugter Hand veran- 
dert werden konnen, so daB nicht mehr das vom Her- 
steller beabsichtigte Betriebsverhalten erreicht wird. 
[0003] Daruber hinaus kann eine derart manipulierte 
Anlage auch betriebsunsicher werden. 
[0004] Um solche unerwunschte Veranderungen von 
Applikationsdaten zu vermeiden, ist es bekannt, im ex- 
ternen Speicher eine sogenannte Prufsumme abzule- 
gen. Durch Uberprufung dieser Prufsumme kann fest- 
gestellt werden, ob die Applikationsdaten geandert war- 
den. Leider ist diese SicherheitsmaBnahme leicht zu 
umgehen, da der Algorithmus zur Bildung der Prufsum- 
me meist bekannt ist. Das gleiche gilt fur das Ablegen 
von sogenannten Schlusselworten, deren Sicherungs- 
funktion ebenfalls leicht umgangen werden kann. 
[0005] In einem anderen Ansatz ist man dazu uber- 
gegangen, die Datenleitungen, uber die der externe 
Speicher angesprochen wird, abweichend von vorgege- 
benen Industriestandards zu vertauschen, so daB bei 
einem Manipulationsversuch mit einem externen Lese- 
gerat keine sinnvollen Daten ausgelesen werden kon- 
nen. Die Vertauschungsmoglichkeiten sind jedoch stark 
eingeschrankt, weshalb zur Manipulation wenige Versu- 
che ausreichen, um das Vertauschungsschema zu er- 
mitteln. 

[0006] Ein popularer Fall dieser Problematik findet 
sich im Bereich der Kraftfahrzeugtechnik, wo fur Steu- 
ergerate von Brennkraftmaschinen Applikationsdaten, 
die beispielsweise das Leistungs- Oder Abgasverhalten 
der Brennkraftmaschine wesentlich beeinflussen, in ei- 
nem externen Speicher vorgehalten werden. Bei den 
Applikationsdaten kann es sich beispielsweise um 
Kennfelder handeln. Durch unbefugtes Verandern die- 
ser im externen Speicher abgelegten Applikationsdaten 
wird oftmals versucht, eine Leistungssteigerung der 
Brennkraftmaschine zu erreichen (sogenanntes Chip- 
tuning). Dabei werden aber haufig die einzuhaltenden 
Abgasgrenzwerte uberschritten. Auch sinkt die Lebens- 
dauer einer derart leistungsgesteigerten Anlage. Ein 
Hersteller kann sich in einem solchen Fall mit einer un- 
berechtigten RegreBforderung konfrontiert sehen, wo- 
bei der unberechtigte leistungssteigernde Eingriff meist 
nicht nachweisbar ist, wenn vorGeltendmachen der Re- 
greBforderung wieder die ursprunglichen Applikations- 
daten in den externen Speicher eingegeben werden. 
[0007] Der Erfindung liegt die Aufgabe zugrunde, eine 
Vorrichtung und ein Verfahren zur Steuerung und/oder 
Regelung einer Anlage anzugeben, bei dem eine Mani- 
pulation von Applikationsdaten stark erschwert ist. 
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[0008] Diese Aufgabe wird durch die in Anspruch 1 
gekennzeichnete Vorrichtung sowie das in Anspruch 6 
gekennzeichnete Verfahren gelost. 
[0009] Die Erfindung sieht vor, daB Applikationsdaten 

5 im externen Speicher verschlusselt abgelegt sind. Die 
Schutzmoglichkeiten sind jedoch dadurch einge- 
schrankt, daB beim Zugriff auf Applikationsdaten keine 
Zeitverzogerung entstehen darf. Eine Verschlusselung 
von Applikationsdaten bringt Rechen- und damit Zeit- 

10 aufwand bei der Entschlusselung mit sich, der mit dem 
Grad der Verschlusselung steigt. Deshalb ist es nicht 
moglich, sinnvoll, d.h. manipulationssicher verschlus- 
selte Applikationsdaten wahrend des Betriebes der An- 
lage vor dem Zugriff zu entschlusseln. Es ist deshalb 

is vorgesehen, die Applikationsdaten manipulationssicher 
vorzuhalten und schon beim Start der Anlage in einen 
internen Arbeitsspeicher einzulesen und dabei zu ent- 
schlusseln. Ein Zugriff auf den externen Speicher liefert 
somit nur verschlusselte Applikationsdaten. 

20 [0010] Die Entschlusselung in der Startphase der An- 
lage und das Ablegen der unverschlusselten Applikati- 
onsdaten im internen Arbeitsspeicher stellt sicher, daB 
wahrend des Betriebs der Anlage zeitaufwendige Ent- 
schlusselungsvorgange nicht mehr notig sind. 

25 [0011] Bei der Entschlusselung muB ein Entschlusse- 
lungskode verwendet werden. Vorzugsweise wird bei 
der Verschlusselung und Entschlusselung ein soge- 
nannter asymmetrischer Algorithmus eingesetzt, der ei- 
nen ersten Schlussel zum Verschlusseln und einen 

30 zweiten Schlussel um Entschlusseln aufweist, wobei die 
Kenntnis des Entschlusselungskodes nicht erlaubt, auf 
den Verschlusselungskode ruckzuschlieBen. Somit 
kann optional der Entschlusselungskode ebenfalls im 
externen Speicher abgelegt werden, ohnedaBbei einer 

35 Manipulation das Auslesen dieses Entschlusselungsko- 
des den Unbefugten in die Lage versetzen wurde, ver- 
anderte Applikationsdaten so zur Ablage im externen 
Steuergerat zu verschlusseln, daB diese beim Start der 
Anlage sinnvoll entschlusselt werden konnten. 

40 [0012] Da beim Start der Anlage die Zeit, die auf die 
Entschlusselung der Applikationsdaten verwendet wer- 
den kann, meist beschrankt ist, ist in einer bevorzugten 
Ausgestaltung der Erfindung vorgesehen, nicht alle Ap- 
plikationsdaten im externen Speicher verschlusselt vor- 

45 zuhalten. Stan dessen werden nur diejenigen Applika- 
tionsdaten verschlusselt, die fur ein schutzwurdiges 
Verhalten der Anlage relevant sind. Im Beispielfall einer 
Brennkraftmaschine kann dies beispielsweise die Lei- 
stung und/oder Abgasverhalten sein. Fur eine Weiter- 

50 bildung wird man die Menge der verschlusselt abgeleg- 
ten Applikationsdaten so auswahlen, daB die Entschlus- 
selung in einer vorbestimmten Zeitspanne erfolgen 
kann. 

[0013] Um sicherzustellen, daB der Zugriff auf die im 
55 internen Arbeitsspeicher abgelegten entschlusselten 
Applikationsdaten nicht manipuliert werden kann, ist es 
vorzuziehen, die die Steuerungs- und/oder Regelungs- 
aufgaben durchfuhrende Recheneinheit mit dem inter- 
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nen Arbeitsspeicher manipulationssicher auszugestal- 
ten, was besonders bevorzugt durch Ausfuhrung als in- 
tegrierter Baustein. beispielsweise in einem Mikropro- 
zessor erfolgen kann. 

[0014] Bevorzugte Ausgestaltungen der Erfindung 
sind Gegenstand der Unteranspruche. 
[0015] Die Erfindung wird nachfoigend unter Bezug- 
nahme auf die Zeichnung in einem Ausfuhrungsbeispiel 
naher erlautert. In der Zeichnung zeigt: 

Fig. 1 ein Blockschaltbild einer Vorrichtung zur 
Steuerung und/oder Regelung einer Anlage 
und 

Fig. 2 ein Ablaufschema mit Verschlusselung und 
Entschlusselung. 

[0016] In Fig. 1 ist ein Mikroprozessor 2 mit einem 
ROM 1 dargestellt, die Teil eines (nicht dargestellten) 
Steuergerates einer als Block dargestellten Brennkraft- 
maschine 7 sind. Der Betrieb der Brennkraftmaschine 7 
wird vom Steuergerat uber Steuerleitungen 6 gesteuert 
bzw. geregelt. 

[0017] Der Mikroprozessor weist ein Rechenwerk 3 
auf, das u.a. auf l/O-Ports 5 zugreift, an die die Steuer- 
leitungen 6 angeschiossen sind. Weiter hat das Re- 
chenwerk 3 uber einen internen Datenbus 9 Verbindung 
zu einem RAM 4. Beim RAM 4 handelt es sich um einen 
fluchtigen Speicher, d.h. um einen Speicher, dessen In- 
halt nach Abschalten des Steuergerates verloren geht. 
Der RAM 4 ist der Arbeitsspeicher des Mikroprozessors 
2. Der Mikroprozessor 2 ist als IC-Baustein ausgefuhrt, 
so da3 der RAM 4 nicht auf einem externen Datenbus 
8 sichtbar ist. Somit kann auch mittels moderner 
MeGgerate nicht auf die im RAM 4 vorhandenen Daten 
zugegriffen werden. 

[0018] Der Mikroprozessor 2 ist weiter uber den Da- 
tenbus 8 mit dem ROM 1 verbunden, der als externer 
Speicher dient. Dieser ROM l ist, beispielsweise durch 
Batteriepufferung, so ausgebiidet, da3 er auch nach Ab- 
schalten des Steuergerates die darin befindlichen Da- 
ten behalt. Der ROM 1 hat mehrere Speicherbereiche, 
beispielhaft sind ein Speicherbereich 1b fur verschlus- 
selte Applikationsdaten und ein Speicherbereich 1a fur 
nicht verschlusselte Applikationsdaten dargestellt. 
[0019] Auf die Art der Verschlusselung und deren 
Funktion wird spater noch eingegangen werden. Die 
Applikationsdaten im Speicherbereich 1a und 1b sind 
Kennfelder, die fur den Betrieb der Brennkraftmaschine 
wesentlich sind. Beispielsweise kann es sich dabei um 
Kennfelder handeln, die abhangig von Betriebsparame- 
tern der Brennkraftmaschine 7 die einzuspritzende 
Kraftstoffmasse ausgeben. 

[0020] Beim Start der Brennkraftmaschine 7 liest der 
Mikroprozessor 2 die Applikationsdaten aus dem ROM 
1. Die unverschlusseiten Applikationsdaten des Spei- 
cherbereichs 1a werden direkt in den RAM 4 eingege- 
ben. Die verschlusselten Applikationsdaten des Spei- 



cherbereiches 1 b werden vom Rechenwerk 3 zuerst un- 
ter Verwendung eines Entschlusselungskodes ent- 
schlusselt und dann in entschlusselter Form im RAM 4 
abgelegt. Auf den Entschlusselungsvorgang wird spater 

5 noch eingegangen werden. Der Entschlusselungskode 
kann entweder in einem weiteren Speicherbereich des 
ROM 1 Oder in einem dritten Speicher abgelegt sein. 
Optional ist es moglich, nur die verschlusselten Appli- 
kationsdaten des Speicherbereiches 1b nach der Ent- 

10 schlusselung in den RAM 4 einzugeben und die unver- 
schlusseiten Applikationsdaten im Speicherbereich 1a 
zu belassen. Zur Regelung und/oder Steuerung der 
Brennkraftmaschine 7 greift der Mikroprozessor 2 dann 
auf die unverschlusseiten Applikationsdaten im RAM 4 

15 und eventuell auch noch im Speicherbereich 1a zu. Die 
Menge derzu entschlusselnden Daten im Speicherbe- 
reich 1b ist so bemessen, da3 sie innerhalb der Start- 
phase der Brennkraftmaschine 7 in einer zulassigen, 
vorbestimmten Zeitdauer entschlusselt werden konnen. 

20 Da die verschlusselten Applikationsdaten wahrend des 
normalen Betriebes nicht mehr entschlusselt werden 
mussen, sondern bereits in entschlusselter Form im 
RAM 4 liegen, treten wahrend des Betriebs der Brenn- 
kraftmaschine 7 durch den Entschlusselungsvorgang 

25 keine Laufzeitverzogerungen oder -probleme auf. Da 
der RAM 4, wie oben ausgefuhrt, nicht uber den exter- 
nen Datenbus 8 ansprechbar bzw. sichtbar ist, ist es un- ' 
moglich, die verschlusselten Applikationsdaten des 
Speicherbereichs 1b mit ihrer unverschlusseiten Form 

30 im RAM 4 zu vergleichen, um auf den Verschlusse- 
lungsalgorithmus ruckzuschlieBen. 
[0021] Die Verschlusselung der Applikationsdaten 
zur Ablage als verschlusselte Applikationsdaten im 
Speicherbereich 1 b ist beispielhaft in Fig. 2 dargestellt. 

35 Es wird ein asymmetrisches Kryptographieverfahren 
verwendet. Ein asymmetrisches Verschlusselungsver- 
fahren verwendet zum Verschliisseln einen anderen 
Schlussel als zum Entschlusseln. Mit Kenntnis des Ent-~ 
schlusselungskodes kann nicht auf den Verschlusse- 

40 lungskode geschlossen werden. Auch ein Vergleich von 
verschlusselten und entschlusselten Daten ermoglicht 
in der Regel keinen RuckschluB auf den Verschlusse- 
lungskode. Asymmetrische Verschlusselungsverfahren 
sind in der Kryptographietechnik bekannt. Ein bekann- 

45 ter Algorithmus fur ein solches asymmetrisches Krypto- 
graphieverfahren ist der RSA-Atgorithmus, der nach 
seinen Entwicklern Rivest, Shamir und Adleman be- 
nannt ist. Er ist beispielweise in folgender Veroffentli- 
chung beschrieben: R. Rivest, A. Shamir, L. Adleman, 

50 "A Method for Obtaining Digital Signatures and Public 
Key Cryptosystems", Communications of the ACM, S. 
120 bis 128, Feb. 1978. Eine genaue Beschreibung 
asymmetrischer Kryptographieverfahren findet sich 
auch in Bruce Shneyer "Applied Cryptography", 2. Aufl. 

55 Der Offenbarungsgehalt dieser beiden Veroffentlichun- 
gen wird vollumfanglich hier einbezogen. 
[0022] Naturlich wird fur jede Weiterentwicklung der 
Applikationsdaten ein neues Schlusselpaar aus Ver- 
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schlusselungsschlussel und Entschlusselungsschlus- 
sel verwendet. Somit ware ein "geknackter" Verschlus- 
selungskode nur zur Manipulation einer stark einge- 
schrankten Anzahl von Steuergeraten tauglich. da bei 
Herausgabe eines neuen Datenstandes mit neuen Ap- 5 
plikationsdaten der "geknackte" Verschlusselungs- 
schlussel nicht mehr tauglich ware. 
[0023] In dieser Ausfuhrungsform mit asymmetri- 
scher Kryptographie werden die als Klardaten X vorlie- 
genden Applikationsdaten zuerst mit einem Verschlus- 10 
selungsvorgarig P(X) verschlusselt. Diese Verschlusse- 
lung nimmt der Hersteller vor : wenn er den ROM 1 mit 
den entsprechenden Daten fullt. Dann sind im Speicher- 
bereich 1 b lediglich verschlusselte Daten V vorhanden. 
Beim Auslesen der verschlusselten Daten wahrend des * 5 
Startvorgangs werden die verschlusselten Daten V mit- 2. 
teis eines Entschlusselungsvorgangs S(V) verschlus- 
selt und konnen dann als Klardaten X in den RAM 4 ein- 
gegeben werden. 

[0024] In einer alternativen Ausbildung ist es auch 20 
moglich, ein sogenanntes symmetrisches Verschlusse- 
lungsverfahren anzuwenden, bei dem fur Ver- und Ent- 
schlusselung jeweils derselbe Schlussel Anwendung 3. 
findet. 

[0025] Dann muf3 der Schlussel manipulationssicher 25 
im Mikroprozessor 2 untergebracht werden. Dies kann 
beispielsweise durch Vorsehen eines statischen Spei- 
chers im Mikroprozessor 2 geschehen, auf den von au- 
ften nicht zugegriffen werden kann, ohne den Mikropro- 
zessor 2 zu zerstoren. 30 4. 
[0026] Es ist bei einem unbefugten Eingriff unmog- 
lich, sinnvoll verschlusselte Applikationsdaten zu erzeu- 
gen, d.h. Applikationsdaten, die nach der Entschlusse- 
lung fur den Mikroprozessor 2 sinnvolle Daten ergaben. 
[0027] Zur Steigerung der Sicherheit kann man im Mi- 35 
kroprozessor 2 eine zusatzliche Oberprufung der ent- 
schlusselten Applikationsdaten im RAM 4 durchfuhren, 
beispielsweise indem Schutzworter uberpruft werden. 5. 
Bei Detektion einer Manipulation kann man auf einen 
Sonderbetriebszustand, beispielsweise einen Betrieb *o 
mit reduzierter Leistung, Oder sogar ein Stillegen der 
Anlage umschalten. 



fluchtig speichert, und 

einem externen Speicher (1). der mindestens 
einen Teii der verwendeten Applikationsdaten 
verschlusselt und nichtfluchtig enthalt und der 
mit der Recheneinheit (3) uber einen externen 
Kommunikationskanal (8) verbunden ist, wobei 
die Recheneinheit (3) beim Start der Vorrich- 
tung die verschlusselten Applikationsdaten aus 
dem externen Speicher (1) einliest, dann die 
Applikationsdaten unter Verwendung eines 
Entschlusselungskodes entschlusselt, im inter- 
nen Arbeitsspeicher (4) ablegt und im weiteren 
Betrieb auf diese entschlusselten Applikations- 
daten im Arbeitsspeicher (4) zugreift. 

Vorrichtung nach Anspruch 1. dadurch gekenn- 
zeichnet, daB der externe Speicher (1) den Ent- 
schlusselungskode enthalt, der so ausgebildet ist, 
da3 er eine Entschlusselung der Applikationsdaten 
erlaubt, aber keine Verschlusselung von Applikati- 
onsdaten. 

Vorrichtung nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, daB fur die Leistung, 
die Lebensdauer und/oder die Betriebssicherheit 
der Anlage (7) relevante Applikationsdaten in dem 
externen Speicher (1) verschlusselt abgelegt sind. 

Vorrichtung nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, daB der Teil der Appli- 
kationsdaten, der verschlusselt abgelegt ist, so be- 
schaffen ist, daB die Recheneinheit (3) die Ent- 
schlusselung in einer vorbestimmten Zeitspanne 
durchfuhrt. 

Vorrichtung nach einem der vorhergehenden An- 
spruche, 

dadurch gekennzeichnet, daB Recheneinheit (3), 
interner Arbeitsspeicher (4) und intemer Kommuni- 
kationskanal (9) als integrierter Baustein (2) ausge- 
fuhrt sind. 



45 6. Verfahren zur Steuerung und/oder Regelung einer 
Anlage, insbesondere einer Brennkraftmaschine, 
bei dem 



Patentanspruche 

1 . Vorrichtung zur Steuerung und/oder Regelung ei- 
ner Anlage insbesondere einer Brennkraftmaschi- 
ne (7) mit: 

einer Recheneinheit (3), die zur Steuerung und/ 
Oder Regelung erforderliche Berechnungcn 
unter Verwendung von Applikationsdaten 
durchfuhrt und entsprechend Stellausgange 
(6) betatigt, 55 
einem internen Arbeitsspeicher (4), der mit der 
Recheneinheit (3) uber einen internen Kommu- 
nikationskanal (9) verbunden ist und Daten 



bei Start der Anlage verschlusselte Applikati- 
onsdaten aus einem externen Speicher in ei- 
nen internen Arbeitsspeicher einer Rechenein- 
heit geladen werden, 

die verschlusselten Applikationsdaten dabei 
oder danach unter Verwendung eines Ent- 
schlusselungskodes entschlusselt und so im 
internen Arbeitsspeicher abgelegt werden, und 
zur Steuerung und/oder Regelung auf die ent- 
schlusselten Applikationsdaten zugegriffen 
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wird, wobei 

der Entschlusselungskode nicht zur Verschlus- 
selung von Applikationsdaten tauglich ist. 

Verfahren nach Anspruch 6, dadurch gekenn- 
zeichnet, daB zur Verschlusselung und Entschlus- 
selung der Applikationsdaten ein RSA-Algorithmus 
verwendet wird. 
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(57) Zur Regelung und/oder der Steuerung des Be- 
triebs einer Anlage (7) werden zu schutzende Appiika- 
tionsdaten verschlusselt in einem externen Speicher (1) 
abgetegt und bei Start der Anlage (7) in einen internen 
Arbeitsspeicher (4) eines Steuergerates eingelesen. 
Wahrend dieses Einlesevorgangs werden die ver- 
schlusselten Daten mit einem Entschlusselungskode 
entschlusselt. Zur Verschlusselung wird ein Verschlus- 



selungskode verwendet, der so gestaltet ist, daB Kennt- 
nis des Entschlusselungskodes keinen RuckschluB auf 
den Verschlusselungskode erlaubt. Durch diese dop- 
pelten Schliissel ist sichergestellt, da3 zu schutzende 
Applikationsdaten einerseits manipulationssicher ver- 
schlusselt werden konnen und andererseits im norma- 
len Betrieb entschlusselte Daten ohne Laufzeitproble- 
me verwendet werden konnen. 
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